Νομικό Περιοδικό Αρ. 61 – Ιούλιος 2023.

Τα API στην καρδιά της κοινής χρήσης προσωπικών δεδομένων.

Οι διεπαφές προγραμματισμού εφαρμογών, που ονομάζονται συνήθως "API" από την αγγλική τους ονομασία "application programming interface", χρησιμοποιούνται συχνά για τη διευκόλυνση της ανταλλαγής πληροφοριών μεταξύ δημόσιων ή ιδιωτικών οργανισμών.

Αυτή η κοινοχρησία δεδομένων υποστηρίζεται από τον νομοθέτη, όπως επιβεβαιώνεται από την ευρωπαϊκή στρατηγική για την ψηφιακή κυριαρχία: στόχος της είναι η ανάπτυξη μιας ενιαίας αγοράς δεδομένων «υποστηρίζοντας την υπεύθυνη πρόσβαση, την κοινοχρησία και την επαναχρησιμοποίηση, σύμφωνα με τις αξίες της Ευρωπαϊκής Ένωσης και ιδίως την προστασία των προσωπικών δεδομένων».

Συμπληρώνει την ευρωπαϊκή στρατηγική για την τεχνητή νοημοσύνη.

Τα API, εάν ενσωματώνουν την προστασία δεδομένων από το στάδιο του σχεδιασμού του συστήματος κοινής χρήσης, μπορούν να παρέχουν ένα ευνοϊκό τεχνικό πλαίσιο, σύμφωνα με τον ΓΚΠΔ.

Συνεπώς, η CNIL ενθαρρύνει τη χρήση τους σε μια σύσταση που εγκρίθηκε στις 7 Ιουλίου.

Τονίζει ιδιαίτερα τη σημασία ενός επιπέδου ασφάλειας ανάλογου με τους κινδύνους επαναχρησιμοποίησης και του περιορισμού της κοινής χρήσης δεδομένων στο ελάχιστο απαραίτητο.

Η σύσταση στοχεύει σε τρεις τύπους φορέων: κατόχους δεδομένων, διαχειριστές API και επαναχρήστες δεδομένων.

Ο κάτοχος των δεδομένων χαρακτηρίζεται από το γεγονός ότι ελέγχει τα δεδομένα με τεχνικό ή οργανωτικό τρόπο.

Ένας διαχειριστής API είναι ο οργανισμός που είναι υπεύθυνος για ορισμένα ή όλα τα τεχνικά στοιχεία στα οποία βασίζεται η κοινοποίηση δεδομένων.

Τελικά, ο επαναχρησιμοποιητής δεδομένων είναι οποιοσδήποτε οργανισμός σχεδιάζει να έχει πρόσβαση ή να λαμβάνει δεδομένα μέσω API για δική του χρήση.

Η CNIL (Γαλλική Αρχή Προστασίας Δεδομένων) τονίζει ότι ο ίδιος οργανισμός μπορεί να έχει διάφορους ρόλους, όπως όταν ο υπεύθυνος επεξεργασίας δεδομένων αναπτύσσει ο ίδιος ένα API: τότε είναι επίσης ο διαχειριστής του API και πρέπει να ακολουθεί τις συστάσεις που σχετίζονται και με τους δύο ρόλους. Επομένως, είναι απαραίτητο να προσδιοριστεί ο συγκεκριμένος ρόλος κάποιου στη χρήση ενός API.

Κάθε κατηγορία προσανατολίζεται σε μέτρα που της επιτρέπουν να επιτύχει το επιθυμητό επίπεδο ασφάλειας και να συμμορφώνεται με τις αρχές προστασίας δεδομένων.

Τα ενδιαφερόμενα μέρη ενθαρρύνονται να συνεργαστούν για την εφαρμογή αυτών των συστάσεων.                              

• Οι κάτοχοι δεδομένων θα πρέπει να δώσουν ιδιαίτερη προσοχή στην ενημέρωση των περαιτέρω χρηστών, στην ακρίβεια και την ακεραιότητα των δεδομένων, καθώς και στην ασφάλεια των δεδομένων (διαχωρισμός και διαθεσιμότητα, έλεγχος ταυτότητας, καταγραφή).
• Οι διαχειριστές API θα επικεντρωθούν στην τεκμηρίωση, την ελαχιστοποίηση δεδομένων, την άσκηση δικαιωμάτων σχετικά με την κοινή χρήση δεδομένων και την ασφάλεια (επικοινωνίες, ασφάλεια συστημάτων πληροφοριών, καταγραφή).
• Οι περαιτέρω χρήστες έχουν συγκεκριμένες υποχρεώσεις όσον αφορά την ενημέρωση των ενδιαφερομένων, την ελαχιστοποίηση των δεδομένων και την ασφάλεια (διαχείριση κινδύνου, ασφάλεια κλειδιών, καταγραφή).

Η σύσταση αφορά συγκεκριμένες περιπτώσεις κοινής χρήσης δεδομένων, για παράδειγμα μεταξύ κοινωνικών δικτύων και ερευνητών ή το άνοιγμα κυβερνητικών δεδομένων.

Η ιδιότητα των διαφόρων φορέων δεν προδικάζει την ιδιότητά τους ως υπευθύνων επεξεργασίας ή επεξεργαστών δεδομένων κατά την έννοια του ΓΚΠΔ.

Ωστόσο, μπορούν να εξαχθούν ορισμένες κατευθυντήριες γραμμές: ο κάτοχος των δεδομένων θα είναι γενικά υπεύθυνος για την κοινοποίηση της επεξεργασίας, στο βαθμό που έχει αποφασίσει ελεύθερα για τους σκοπούς και τα μέσα της επεξεργασίας ή όταν έχει υποχρεωθεί νομικά να την εφαρμόσει.

Ο περαιτέρω χρήστης θα είναι συχνά «παραλήπτης» κατά την έννοια του ΓΚΠΔ.

Από την πλευρά του, ο διαχειριστής API θα ενεργεί ως υπεργολάβος, δηλαδή, εκ μέρους και σύμφωνα με τις οδηγίες του κατόχου των δεδομένων ή/και του περαιτέρω χρήστη.

Οι συστάσεις της CNIL θα πρέπει σύντομα να συμπληρωθούν από την ευπρόσδεκτη δημοσίευση πρακτικών περιπτώσεων στον ιστότοπο της Επιτροπής.

 

Και επίσης

• Στις 27 Ιουλίου, η CNIL δημοσίευσε πρόσκληση για συνεισφορές σχετικά με το έργο της για την Τεχνητή Νοημοσύνη.

Με την ευκαιρία αυτή, δίνει μια αρχική ενημέρωση σχετικά με την πρόοδο του έργου της μετά τη δημοσίευση του σχεδίου δράσης της για την τεχνητή νοημοσύνη στις 16 Μαΐου και ξεκινά μια πρόσκληση για συνεισφορές για να εμπλουτίσει τον τρόπο σκέψης της, ενόψει των πρώτων δημοσιεύσεων που έχουν προγραμματιστεί για το φθινόπωρο.

• Η CNIL προτείνει επίσης ένα νέο «sandbox» για την υποστήριξη τριών έργων που χρησιμοποιούν τεχνητή νοημοσύνη (AI) προς όφελος των δημόσιων υπηρεσιών.

Η πρόσκληση υποβολής προτάσεων για έργα είναι ανοιχτή έως τις 30 Σεπτεμβρίου 2023.

• Στο πλαίσιο του σχεδίου δράσης της για τις εφαρμογές για κινητά, η CNIL δημοσιεύει και υποβάλλει για δημόσια διαβούλευση ένα σχέδιο σύστασης, με στόχο τη διευκρίνιση των υποχρεώσεων των διαφόρων φορέων σε αυτό το οικοσύστημα, τη διευκόλυνση της συμμόρφωσής τους και την προώθηση της εφαρμογής ορθών πρακτικών.
• Περισσότερες από εξήντα ευρωπαϊκές ΜΚΟ έγραψαν στον Ευρωπαίο Επίτροπο Thierry Breton στις 26 Ιουλίου ζητώντας του διευκρινίσεις σχετικά με τα πρόσφατα σχόλιά του που υποδήλωναν ότι ο αποκλεισμός διαδικτυακών πλατφορμών θα μπορούσε να είναι ένα εφαρμόσιμο και δικαιολογημένο μέτρο βάσει του Νόμου περί Ψηφιακών Υπηρεσιών (DSA).

Αυτά τα σχόλια ακολούθησαν δηλώσεις του Προέδρου της Δημοκρατίας που αναφέρθηκαν στην πιθανότητα αποκλεισμού της πρόσβασης σε πλατφόρμες κοινωνικής δικτύωσης σε περιπτώσεις διατάραξης της δημόσιας τάξης.

Οι ΜΚΟ πιστεύουν ότι αυτά τα σχόλια θα μπορούσαν να ενθαρρύνουν τον αυθαίρετο αποκλεισμό διαδικτυακών πλατφορμών από κυβερνήσεις σε όλο τον κόσμο.

Ζητούν από την Ευρωπαϊκή Επιτροπή να διασφαλίσει ότι η εφαρμογή του Νόμου περί Ψηφιακής Ασφάλειας από τα κράτη μέλη δεν θα οδηγήσει σε υπερβολικά ευρεία ερμηνεία αυτών των μέτρων, η οποία θα αντέβαινε στους κανονιστικούς της στόχους και θα παραβίαζε τον Χάρτη των Θεμελιωδών Δικαιωμάτων της ΕΕ.

• Στις 26 Ιουνίου, το Συμβούλιο της Επικρατείας έκρινε ότι το δικαίωμα διόρθωσης μπορεί να χρησιμοποιηθεί για τη διόρθωση δεδομένων μετά από αλλαγή ταυτότητας, αλλά όχι αναδρομικά για τη διόρθωση εγγράφων πριν από την αλλαγή ταυτότητας: αυτά τα προηγούμενα δεδομένα δεν μπορούν στην πραγματικότητα να θεωρηθούν ανακριβή.
• Η Εθνοσυνέλευση ενέκρινε ομόφωνα στις 28 Ιουνίου το «νομοσχέδιο για τη δημιουργία ψηφιακής πλειοψηφίας και την καταπολέμηση του διαδικτυακού μίσους».

Το έργο εγκρίθηκε επίσης ομόφωνα από τη Γερουσία στις 29 Ιουνίου 2023.

Το κείμενο καθιερώνει την ψηφιακή ενηλικίωση στα 15 έτη, την ηλικία από την οποία ένας ανήλικος δεν θα χρειάζεται πλέον τη συγκατάθεση των γονέων για να εγγραφεί σε ένα κοινωνικό δίκτυο.

 

Ευρωπαϊκά θεσμικά όργανα και οργανισμοί

• Στις 10 Ιουλίου, η Ευρωπαϊκή Επιτροπή εξέδωσε την απόφασή της περί επάρκειας για το «πλαίσιο προστασίας δεδομένων ΕΕ-ΗΠΑ», καταλήγοντας στο συμπέρασμα ότι η προστασία που εγγυώνται οι Ηνωμένες Πολιτείες για τα διαβιβαζόμενα δεδομένα είναι συγκρίσιμη με αυτήν που προσφέρεται στην ΕΕ.

Το νέο πλαίσιο τέθηκε σε ισχύ στις 11 Ιουλίου.

Σύμφωνα με την Επιτροπή, οι αμερικανικές δεσμεύσεις εισάγουν «νέες δεσμευτικές εγγυήσεις για την αντιμετώπιση όλων των ανησυχιών που εξέφρασε το Ευρωπαϊκό Δικαστήριο, ιδίως περιορίζοντας την πρόσβαση των υπηρεσιών πληροφοριών των ΗΠΑ σε δεδομένα της ΕΕ σε ό,τι είναι απαραίτητο και αναλογικό και ιδρύοντας ένα Δικαστήριο Προστασίας Δεδομένων».

Όπως ήταν αναμενόμενο, ο Max Schrems έκρινε ότι το νέο διατλαντικό πλαίσιο για την προστασία των προσωπικών δεδομένων είναι σε μεγάλο βαθμό αντίγραφο της «Ασπίδας Προστασίας Προσωπικών Δεδομένων» και ότι θα προσβάλει την απόφαση στο δικαστήριο.

Από την πλευρά του, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) δημοσίευσε ένα ενημερωτικό σημείωμα προς καθοδήγηση των ενδιαφερόμενων εταιρειών και ατόμων.

• Στις 4 Ιουλίου, η Ευρωπαϊκή Επιτροπή δημοσίευσε την «Πρόταση κανονισμού για τη θέσπιση πρόσθετων διαδικαστικών κανόνων για την εφαρμογή του ΓΚΠΔ», η οποία αποσκοπεί στη διασφάλιση της συνεπούς εφαρμογής του κανονισμού σε διασυνοριακές υποθέσεις.

Σε μήνυμά του στο Twitter, το ΕΣΠΔ χαιρέτισε την ταχεία ανταπόκριση της Επιτροπής στα αιτήματά του για διευκρινίσεις.

Ωστόσο, ο προτεινόμενος κανονισμός επικρίνεται από ορισμένες ΜΚΟ, οι οποίες επισημαίνουν ότι ενέχει τον κίνδυνο να περιορίσει τη συμμετοχή των πολιτών σε καταγγελίες που υποβάλλουν στις Αρχές Προστασίας Δεδομένων (ΑΠΔ) σε περιπτώσεις κακής χρήσης των δεδομένων τους.

• Οι συνδεδεμένες συσκευές, όπως οι κάμερες παρακολούθησης, τα ψυγεία και οι έξυπνες τηλεοράσεις, θα μπορούσαν σύντομα να προσφέρουν καλύτερη προστασία από κυβερνοεπιθέσεις.

Τα κράτη μέλη της ΕΕ συμφώνησαν πρόσφατα σε μια κοινή θέση σχετικά με τις απαιτήσεις ασφαλείας για τα προαναφερθέντα ψηφιακά προϊόντα.

Ο προτεινόμενος νόμος για την ανθεκτικότητα στον κυβερνοχώρο θα εισαγάγει υποχρεωτικές απαιτήσεις για τον σχεδιασμό, την ανάπτυξη και την παραγωγή συσκευών.

• Σε απόφαση της 4ης Ιουλίου 2023, το Δικαστήριο της Ευρωπαϊκής Ένωσης έλαβε θέση σε μια διαφορά μεταξύ της Meta και μιας γερμανικής αρχής ανταγωνισμού.

Το ΔΕΕ έκρινε ότι μια αρχή ανταγωνισμού μπορεί να διαπιστώσει παραβίαση του ΓΚΠΔ και, χωρίς να αντικαταστήσει την αρχή προστασίας δεδομένων, παραμένει ελεύθερη να εξαγάγει τα δικά της συμπεράσματα από την οπτική γωνία της εφαρμογής του δικαίου ανταγωνισμού.

Το ΔΕΕ σημειώνει επίσης ότι το Facebook είναι πιθανό να επεξεργάζεται «ευαίσθητα» δεδομένα από τη δραστηριότητα των χρηστών χωρίς ο χρήστης να έχει απαραίτητα θελήσει να τα δημοσιοποιήσει, γεγονός που αποκλείει την εξαίρεση από την υποχρέωση συγκατάθεσης.

Το Δικαστήριο απέκλεισε επίσης την προσφυγή της Meta στην αναγκαιότητα εκτέλεσης σύμβασης και στο έννομο συμφέρον για να δικαιολογήσει την εξατομίκευση περιεχομένου.

Τέλος, παρατηρεί ότι η δεσπόζουσα θέση του Facebook στην αγορά κοινωνικής δικτύωσης εγείρει ανησυχίες σχετικά με την εγκυρότητα της συγκατάθεσης και ότι εναπόκειται στον φορέα εκμετάλλευσης να αποδείξει ότι η συγκατάθεση όντως παρέχεται ελεύθερα.

Η Meta ανακοίνωσε την 1η Αυγούστου ότι σκοπεύει να αλλάξει τη νομική βάση που χρησιμοποιείται για τη στοχευμένη διαφήμισή της στην Ευρώπη: η εταιρεία θα ζητήσει τη συγκατάθεση των χρηστών.

Αυτή η αλλαγή είναι άμεση συνέπεια των αποφάσεων του ΕΣΠΔ και των εθνικών και ευρωπαϊκών δικαστικών αρχών.

• Στο πλαίσιο των συζητήσεων σχετικά με το σχέδιο ευρωπαϊκού κανονισμού για την ελευθερία των μέσων ενημέρωσης, 80 οργανώσεις της κοινωνίας των πολιτών, οργανισμοί μέσων ενημέρωσης, εκδότες και ραδιοτηλεοπτικοί φορείς, καθώς και συνδικάτα, καλούν το Ευρωπαϊκό Κοινοβούλιο να απαγορεύσει την ανάπτυξη κατασκοπευτικού λογισμικού εναντίον δημοσιογράφων, χωρίς εξαίρεση.
• Στις 3 Ιουλίου, ομάδες της κοινωνίας των πολιτών και ειδικοί σε θέματα Διαδικτύου απέστειλαν επίσης επιστολή στους Επιτρόπους Γιούροβα και Ρέιντερς για να εκφράσουν τη βαθιά τους ανησυχία σχετικά με το προτεινόμενο νομοσχέδιο της βρετανικής κυβέρνησης για την προστασία δεδομένων και τις ψηφιακές πληροφορίες (DPDI), το οποίο θα μετέτρεπε το Ηνωμένο Βασίλειο σε μια «βαλβίδα διαρροής» και θα υπονόμευε τα δικαιώματα προστασίας δεδομένων των Ευρωπαίων πολιτών.

 

Νέα από τις χώρες μέλη της Ευρώπης.

• Η Βελγική Αρχή Προστασίας Δεδομένων (APD) έκρινε ότι ένας φαρμακευτικός σύλλογος, διατηρώντας επ' αόριστον δεδομένα που σχετίζονται με πειθαρχικές κυρώσεις που επιβλήθηκαν βάσει παλαιότερου κανονισμού, παραβιάζει, μεταξύ άλλων, τις αρχές της νομιμότητας, του περιορισμού του σκοπού, της ελαχιστοποίησης των δεδομένων, της ακρίβειας και του περιορισμού της διατήρησης.

Στην ένωση επιβλήθηκε πρόστιμο 30.000 ευρώ.

• Σύμφωνα με την Βελγική Αρχή Προστασίας Δεδομένων, ένας υπεύθυνος επεξεργασίας δεδομένων με έδρα τις Ηνωμένες Πολιτείες, του οποίου η δραστηριότητα περιλαμβάνει τη διοργάνωση συνεδρίων στην Ευρώπη, υπόκειται στον ΓΚΠΔ και οφείλει, μεταξύ άλλων υποχρεώσεων, να διορίσει έναν εκπρόσωπο στο Βέλγιο.
• Η Λετονική Αρχή Προστασίας Δεδομένων (APD) έκρινε ότι η χρήση ενός μοναδικού προσωπικού αναγνωριστικού στοιχείου δεν επαρκούσε για την σαφή ταυτοποίηση ενός υποκειμένου των δεδομένων και την αποτροπή της παράνομης κοινολόγησης ειδικών κατηγοριών δεδομένων από τον εθνικό πάροχο υπηρεσιών υγείας.

Η χρήση πρόσθετων κριτηρίων, όπως το όνομα του ενδιαφερόμενου προσώπου, ήταν απαραίτητη.

• Η Ισπανική Υπηρεσία Προστασίας Δεδομένων (APD) επέβαλε πρόστιμο 10.000 ευρώ σε έναν φύλακα ασφαλείας επειδή κατέγραψε εικόνες από το σύστημα CCTV μιας φυλακής και τις διέδωσε μέσω WhatsApp, κατά παράβαση του άρθρου 6 του ΓΚΠΔ.
• Σε απόφαση που εξέδωσε στις 22 Ιουνίου, η Ιταλική Αρχή Προστασίας Δεδομένων (APD) επέβαλε πρόστιμο ενός εκατομμυρίου ευρώ στην ιταλική εταιρεία αυτοκινητοδρόμων επειδή δεν προσδιόρισε τον ρόλο της ως υπεύθυνου επεξεργασίας δεδομένων στο πλαίσιο της χρήσης υπηρεσιών επιστροφής μετρητών.
• Η Ισλανδική Αρχή Προστασίας Δεδομένων (APD) επέβαλε πρόστιμο περίπου 82.000 ευρώ στο Γραφείο του Εθνικού Ιατροδικαστή για πολλαπλές παραβιάσεις του GDPR μετά από παραβίαση ασφαλείας στον ιστότοπό της Heilsuvera, ο οποίος προσφέρει ένα διαδικτυακό σύστημα υγειονομικής περίθαλψης και μια πύλη συνταγογράφησης.
• Μετά από έλεγχο τεσσάρων εταιρειών που χρησιμοποιούσαν το Google Analytics στους ιστότοπούς τους, η Σουηδική Υπηρεσία Προστασίας Δεδομένων διέταξε αυτές τις εταιρείες να σταματήσουν να χρησιμοποιούν το εργαλείο.

Σε δύο από τις εταιρείες επιβλήθηκαν διοικητικά πρόστιμα, ενώ μια άλλη σταμάτησε οικειοθελώς να χρησιμοποιεί το εργαλείο.

Οι έλεγχοι διεξήχθησαν μετά από καταγγελίες του οργανισμού noyb, ο οποίος κατηγορούσε τις εταιρείες για παράνομη μεταφορά προσωπικών δεδομένων στις Ηνωμένες Πολιτείες, κατά παράβαση της ευρωπαϊκής νομοθεσίας.

• Μετά την προαναφερθείσα απόφαση του ΔΕΕ, η Νορβηγική Αρχή Προστασίας Δεδομένων κήρυξε παράνομη τη συμπεριφορική διαφήμιση στο Facebook και το Instagram.

Για τους επόμενους τρεις μήνες ή μέχρι να αποδείξει τη συμμόρφωσή της με τη νορβηγική νομοθεσία, η εταιρεία κοινωνικής δικτύωσης δεν επιτρέπεται πλέον να χρησιμοποιεί αυτήν την προσέγγιση.

 

• Στα μέσα Ιουλίου, ο Λευκός Οίκος παρουσίασε προσωρινά μέτρα με τη μορφή εθελοντικών δεσμεύσεων για «ασφαλή, προστατευμένη και διαφανή ανάπτυξη και χρήση της Τεχνητής Νοημοσύνης».

Οι Amazon, Anthropic, Google, Inflection, Meta, Microsoft και OpenAI συμφώνησαν να δώσουν προτεραιότητα στην έρευνα σχετικά με τους κοινωνικούς κινδύνους που θέτουν τα συστήματα Τεχνητής Νοημοσύνης και να ενθαρρύνουν την ανακάλυψη και την αναφορά προβλημάτων και τρωτών σημείων.

Ωστόσο, σύμφωνα με ορισμένους ακαδημαϊκούς εμπειρογνώμονες, αυτές οι συμφωνίες δεν είναι καθόλου επαρκείς.

«Οι Ηνωμένες Πολιτείες συνεχίζουν να προσφέρουν εθελοντικά μέτρα, ενώ η Ευρωπαϊκή Ένωση πρόκειται να υιοθετήσει την πιο ολοκληρωμένη νομοθεσία για την τεχνητή νοημοσύνη που έχουμε δει μέχρι σήμερα», δήλωσε η Brandie Nonnecke, ιδρυτική διευθύντρια του Citris Policy Lab στο Πανεπιστήμιο του Μπέρκλεϊ.

• Εν τω μεταξύ, η Ομοσπονδιακή Επιτροπή Εμπορίου (FTC) διερευνά το OpenAI σχετικά με τον τρόπο λειτουργίας του ChatGPT, με λεπτομερή ερωτήματα σχετικά με τα οικονομικά του έσοδα, τον τρόπο εκπαίδευσης των μοντέλων και επεξεργασίας των δεδομένων, τους κινδύνους και τις διαδικασίες ασφαλείας, τη δημιουργία περιεχομένου σχετικά με άτομα, τις εξωτερικές επιθέσεις για την χειραγώγηση του LLM ("άμεσες ενέσεις") και την προστασία των προσωπικών δεδομένων.
• Η OpenAI έχει διακόψει την λειτουργία του εργαλείου της για τη διάκριση μεταξύ κειμένου που δημιουργείται από ανθρώπους και κειμένου που δημιουργείται από τεχνητή νοημοσύνη: «Από τις 20 Ιουλίου 2023, ο ταξινομητής τεχνητής νοημοσύνης δεν είναι πλέον διαθέσιμος λόγω του χαμηλού ποσοστού ακρίβειάς του». Η εταιρεία συνεχίζει την έρευνά της για την ανάπτυξη ενός πιο αποτελεσματικού εργαλείου.
• Η Amazon συμφώνησε να καταβάλει περισσότερα από 30 εκατομμύρια δολάρια για να διευθετήσει δύο αγωγές που άσκησε η FTC για παραβίαση της ιδιωτικότητας των χρηστών, συμπεριλαμβανομένων παιδιών, μέσω του φωνητικού βοηθού Alexa και των καμερών κουδουνιού Ring.

Η Amazon κατηγορήθηκε ότι διατήρησε βιντεοσκοπημένες εγγραφές Ring και φωνητικές εγγραφές Alexa, μαζί με σχετικά δεδομένα γεωγραφικής τοποθεσίας, για αρκετά χρόνια χωρίς τη συγκατάθεσή της και παρά τα αιτήματα των καταναλωτών για διαγραφή αυτών των δεδομένων.

• Η Αρχή Ανάπτυξης Μέσων Πληροφορικής και Επικοινωνιών της Σιγκαπούρης ανακοίνωσε μια συνεργασία με την Google για την υποστήριξη μιας πρωτοβουλίας "τεχνολογικού sandbox".

Αυτή η πρωτοβουλία θα βοηθήσει τις εταιρείες να «προστατεύσουν το απόρρητο των χρηστών και να τους παρέχουν εργαλεία που τους επιτρέπουν να συνεχίσουν να έχουν πρόσβαση σε δεδομένα χωρίς cookies τρίτων».

Η συνεργασία IMDA-Google είναι ανοιχτή σε όλες τις εταιρείες με έδρα τη Σιγκαπούρη.

• Η ρυθμιστική αρχή πληροφοριών της Νότιας Αφρικής εξέδωσε ειδοποίηση παράβασης και διοικητικό πρόστιμο 5 εκατομμυρίων ραντ (περίπου 240.000 ευρώ) στο Υπουργείο Δικαιοσύνης και Συνταγματικής Ανάπτυξης στις 3 Ιουλίου για μη συμμόρφωση με τον Νόμο περί Προστασίας Προσωπικών Δεδομένων (POPIA).

Η ρυθμιστική αρχή είχε εκδώσει ασφαλιστικά μέτρα τον Μάιο, ζητώντας από το υπουργείο να ανανεώσει ορισμένες άδειες ασφάλειας πληροφορικής (αντιιικά ιούς, προγράμματα κατά των εισβολών, SIEM) και να κινήσει πειθαρχικές διαδικασίες κατά των εμπλεκομένων υπαλλήλων.

• Στο Βιετνάμ, ένα διάταγμα για την προστασία των προσωπικών δεδομένων τέθηκε σε ισχύ την 1η Ιουλίου.

Προβλέπει ιδίως τη διενέργεια εκτιμήσεων επιπτώσεων των διαβιβάσεων δεδομένων και τον διορισμό υπευθύνου προστασίας δεδομένων για την επεξεργασία ευαίσθητων δεδομένων.

• Στις θυγατρικές της Meta, Onavo και Facebook Israel, επιβλήθηκε πρόστιμο 20 εκατομμυρίων αυστραλιανών δολαρίων στις 26 Ιουλίου στην Αυστραλία, επειδή δεν προειδοποίησαν επαρκώς τους χρήστες VPN ότι τα δεδομένα τους θα συλλέγονταν για εμπορικούς σκοπούς.

Η κύρωση που επιβλήθηκε από την Αυστραλιανή Αρχή Ανταγωνισμού και Προστασίας Καταναλωτών (ACCC) είναι η μεγαλύτερη που έχει επιβληθεί ποτέ στην Αυστραλία όσον αφορά την προστασία της ιδιωτικής ζωής.